Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0846E0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B6E0
KiST = 80503A70 (284)
Функция NtAcceptConnectPort ошибка чтения машинного кода
Функция NtAccessCheck ошибка чтения машинного кода
Функция NtAccessCheckAndAuditAlarm ошибка чтения машинного кода
Функция NtAccessCheckByType ошибка чтения машинного кода
Функция NtAccessCheckByTypeAndAuditAlarm ошибка чтения машинного кода
Функция NtAccessCheckByTypeResultList ошибка чтения машинного кода
Функция NtAccessCheckByTypeResultListAndAuditAlarm ошибка чтения машинного кода
Функция NtAccessCheckByTypeResultListAndAuditAlarmByHandle ошибка чтения машинного кода
Функция NtAddAtom ошибка чтения машинного кода
Функция NtAddBootEntry ошибка чтения машинного кода
Функция NtAdjustGroupsToken ошибка чтения машинного кода
Функция NtAdjustPrivilegesToken ошибка чтения машинного кода
Функция NtAlertResumeThread ошибка чтения машинного кода
Функция NtAlertThread ошибка чтения машинного кода
Функция NtAllocateLocallyUniqueId ошибка чтения машинного кода
Функция NtAllocateUserPhysicalPages ошибка чтения машинного кода
Функция NtAllocateUuids ошибка чтения машинного кода
Функция NtAllocateVirtualMemory ошибка чтения машинного кода
Функция NtAreMappedFilesTheSame ошибка чтения машинного кода
Функция NtAssignProcessToJobObject (13) перехвачена (805D5044->F2D65C20), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtCallbackReturn ошибка чтения машинного кода
Функция NtCancelDeviceWakeupRequest ошибка чтения машинного кода
Функция NtCancelIoFile ошибка чтения машинного кода
Функция NtCancelTimer ошибка чтения машинного кода
Функция NtClearEvent ошибка чтения машинного кода
Функция NtClose (19) перехвачена (805BB0AA->F2D511E0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtCloseObjectAuditAlarm ошибка чтения машинного кода
Функция NtCompactKeys ошибка чтения машинного кода
Функция NtCompareTokens ошибка чтения машинного кода
Функция NtCompleteConnectPort ошибка чтения машинного кода
Функция NtCompressKey ошибка чтения машинного кода
Функция NtConnectPort (1F) перехвачена (805A31EA->F2D6786C), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtContinue ошибка чтения машинного кода
Функция NtCreateDebugObject ошибка чтения машинного кода
Функция NtCreateDirectoryObject ошибка чтения машинного кода
Функция NtCreateEvent ошибка чтения машинного кода
Функция NtCreateEventPair ошибка чтения машинного кода
Функция NtCreateFile (25) перехвачена (80577F46->F2D4BCC0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtCreateIoCompletion ошибка чтения машинного кода
Функция NtCreateJobObject ошибка чтения машинного кода
Функция NtCreateJobSet ошибка чтения машинного кода
Функция NtCreateKey (29) перехвачена (806222D2->F2D57D10), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtCreateMailslotFile ошибка чтения машинного кода
Функция NtCreateMutant ошибка чтения машинного кода
Функция NtCreateNamedPipeFile ошибка чтения машинного кода
Функция NtCreatePagingFile (2D) перехвачена (805AA60A->F7249B00), перехватчик C:\WINDOWS\system32\Drivers\a348bus.sys, драйвер опознан как безопасный
Функция NtCreatePort ошибка чтения машинного кода
Функция NtCreateProcess (2F) перехвачена (805CFC90->F2D61270), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtCreateProcessEx (30) перехвачена (805CFBDA->F2D61AD0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtCreateProfile ошибка чтения машинного кода
Функция NtCreateSection (32) перехвачена (805A9FE4->EB11DA70), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtCreateSemaphore ошибка чтения машинного кода
Функция NtCreateSymbolicLinkObject (34) перехвачена (805C37DE->F2D57AD0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtCreateThread (35) перехвачена (805CFA78->EB11A7F0), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtCreateTimer ошибка чтения машинного кода
Функция NtCreateToken ошибка чтения машинного кода
Функция NtCreateWaitablePort ошибка чтения машинного кода
Функция NtDebugActiveProcess ошибка чтения машинного кода
Функция NtDebugContinue ошибка чтения машинного кода
Функция NtDelayExecution ошибка чтения машинного кода
Функция NtDeleteAtom ошибка чтения машинного кода
Функция NtDeleteBootEntry ошибка чтения машинного кода
Функция NtDeleteFile (3E) перехвачена (80575B2C->F2D56960), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtDeleteKey (3F) перехвачена (80622762->F2D59390), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtDeleteObjectAuditAlarm ошибка чтения машинного кода
Функция NtDeleteValueKey (41) перехвачена (80622932->F2D5E0A0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtDeviceIoControlFile ошибка чтения машинного кода
Функция NtDisplayString ошибка чтения машинного кода
Функция NtDuplicateObject ошибка чтения машинного кода
Функция NtDuplicateToken ошибка чтения машинного кода
Функция NtEnumerateBootEntries ошибка чтения машинного кода
Функция NtEnumerateKey (47) перехвачена (80622B12->F724A5DC), перехватчик C:\WINDOWS\system32\Drivers\a348bus.sys, драйвер опознан как безопасный
Функция NtEnumerateSystemEnvironmentValuesEx ошибка чтения машинного кода
Функция NtEnumerateValueKey (49) перехвачена (80622D7C->F7256120), перехватчик C:\WINDOWS\system32\Drivers\a348bus.sys, драйвер опознан как безопасный
Функция NtExtendSection ошибка чтения машинного кода
Функция NtFilterToken ошибка чтения машинного кода
Функция NtFindAtom ошибка чтения машинного кода
Функция NtFlushBuffersFile ошибка чтения машинного кода
Функция NtFlushInstructionCache ошибка чтения машинного кода
Функция NtFlushKey ошибка чтения машинного кода
Функция NtFlushVirtualMemory ошибка чтения машинного кода
Функция NtFlushWriteBuffer ошибка чтения машинного кода
Функция NtFreeUserPhysicalPages ошибка чтения машинного кода
Функция NtFreeVirtualMemory ошибка чтения машинного кода
Функция NtFsControlFile ошибка чтения машинного кода
Функция NtGetContextThread ошибка чтения машинного кода
Функция NtGetDevicePowerState ошибка чтения машинного кода
Функция NtGetPlugPlayEvent ошибка чтения машинного кода
Функция NtGetWriteWatch ошибка чтения машинного кода
Функция NtImpersonateAnonymousToken ошибка чтения машинного кода
Функция NtImpersonateClientOfPort ошибка чтения машинного кода
Функция NtImpersonateThread ошибка чтения машинного кода
Функция NtInitializeRegistry ошибка чтения машинного кода
Функция NtInitiatePowerAction ошибка чтения машинного кода
Функция NtIsProcessInJob ошибка чтения машинного кода
Функция NtIsSystemResumeAutomatic ошибка чтения машинного кода
Функция NtListenPort ошибка чтения машинного кода
Функция NtLoadDriver ошибка чтения машинного кода
Функция NtLoadKey ошибка чтения машинного кода
Функция NtLoadKey2 ошибка чтения машинного кода
Функция NtLockFile ошибка чтения машинного кода
Функция NtLockProductActivationKeys ошибка чтения машинного кода
Функция NtLockRegistryKey ошибка чтения машинного кода
Функция NtLockVirtualMemory ошибка чтения машинного кода
Функция NtMakePermanentObject ошибка чтения машинного кода
Функция NtMakeTemporaryObject (69) перехвачена (805BB14E->F2D57350), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtMapUserPhysicalPages ошибка чтения машинного кода
Функция NtMapUserPhysicalPagesScatter ошибка чтения машинного кода
Функция NtMapViewOfSection ошибка чтения машинного кода
Функция NtModifyBootEntry ошибка чтения машинного кода
Функция NtNotifyChangeDirectoryFile ошибка чтения машинного кода
Функция NtNotifyChangeKey ошибка чтения машинного кода
Функция NtNotifyChangeMultipleKeys ошибка чтения машинного кода
Функция NtOpenDirectoryObject ошибка чтения машинного кода
Функция NtOpenEvent ошибка чтения машинного кода
Функция NtOpenEventPair ошибка чтения машинного кода
Функция NtOpenFile (74) перехвачена (80579044->EB11C609), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtOpenIoCompletion ошибка чтения машинного кода
Функция NtOpenJobObject ошибка чтения машинного кода
Функция NtOpenKey (77) перехвачена (80623668->F2D58BB0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtOpenMutant ошибка чтения машинного кода
Функция NtOpenObjectAuditAlarm ошибка чтения машинного кода
Функция NtOpenProcess (7A) перехвачена (805C9EBA->EB11C110), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtOpenProcessToken ошибка чтения машинного кода
Функция NtOpenProcessTokenEx ошибка чтения машинного кода
Функция NtOpenSection (7D) перехвачена (805A9008->F2D4B5F0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtOpenSemaphore ошибка чтения машинного кода
Функция NtOpenSymbolicLinkObject ошибка чтения машинного кода
Функция NtOpenThread (80) перехвачена (805CA146->F7BD1E55), перехватчик не определен
Функция NtOpenThreadToken ошибка чтения машинного кода
Функция NtOpenThreadTokenEx ошибка чтения машинного кода
Функция NtOpenTimer ошибка чтения машинного кода
Функция NtPlugPlayControl ошибка чтения машинного кода
Функция NtPowerInformation ошибка чтения машинного кода
Функция NtPrivilegeCheck ошибка чтения машинного кода
Функция NtPrivilegeObjectAuditAlarm ошибка чтения машинного кода
Функция NtPrivilegedServiceAuditAlarm ошибка чтения машинного кода
Функция NtProtectVirtualMemory (89) перехвачена (805B6F98->EB11BE80), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtPulseEvent ошибка чтения машинного кода
Функция NtQueryAttributesFile ошибка чтения машинного кода
Функция NtQueryBootEntryOrder ошибка чтения машинного кода
Функция NtQueryBootOptions ошибка чтения машинного кода
Функция NtQueryDebugFilterState ошибка чтения машинного кода
Функция NtQueryDefaultLocale ошибка чтения машинного кода
Функция NtQueryDefaultUILanguage ошибка чтения машинного кода
Функция NtQueryDirectoryFile (91) перехвачена (80578D26->F2D51DF0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtQueryDirectoryObject ошибка чтения машинного кода
Функция NtQueryEaFile ошибка чтения машинного кода
Функция NtQueryEvent ошибка чтения машинного кода
Функция NtQueryFullAttributesFile ошибка чтения машинного кода
Функция NtQueryInformationAtom ошибка чтения машинного кода
Функция NtQueryInformationFile ошибка чтения машинного кода
Функция NtQueryInformationJobObject ошибка чтения машинного кода
Функция NtQueryInformationPort ошибка чтения машинного кода
Функция NtQueryInformationProcess ошибка чтения машинного кода
Функция NtQueryInformationThread ошибка чтения машинного кода
Функция NtQueryInformationToken ошибка чтения машинного кода
Функция NtQueryInstallUILanguage ошибка чтения машинного кода
Функция NtQueryIntervalProfile ошибка чтения машинного кода
Функция NtQueryIoCompletion ошибка чтения машинного кода
Функция NtQueryKey (A0) перехвачена (8062398C->F2D59E40), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtQueryMultipleValueKey ошибка чтения машинного кода
Функция NtQueryMutant ошибка чтения машинного кода
Функция NtQueryObject ошибка чтения машинного кода
Функция NtQueryOpenSubKeys ошибка чтения машинного кода
Функция NtQueryPerformanceCounter ошибка чтения машинного кода
Функция NtQueryQuotaInformationFile ошибка чтения машинного кода
Функция NtQuerySection ошибка чтения машинного кода
Функция NtQuerySecurityObject ошибка чтения машинного кода
Функция NtQuerySemaphore ошибка чтения машинного кода
Функция NtQuerySymbolicLinkObject ошибка чтения машинного кода
Функция NtQuerySystemEnvironmentValue ошибка чтения машинного кода
Функция NtQuerySystemEnvironmentValueEx ошибка чтения машинного кода
Функция NtQuerySystemInformation (AD) перехвачена (8060FA5A->EB11CB2E), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtQuerySystemTime ошибка чтения машинного кода
Функция NtQueryTimer ошибка чтения машинного кода
Функция NtQueryTimerResolution ошибка чтения машинного кода
Функция NtQueryValueKey (B1) перехвачена (8062038C->F2D5A5B0), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtQueryVirtualMemory ошибка чтения машинного кода
Функция NtQueryVolumeInformationFile ошибка чтения машинного кода
Функция NtQueueApcThread ошибка чтения машинного кода
Функция NtRaiseException ошибка чтения машинного кода
Функция NtRaiseHardError ошибка чтения машинного кода
Функция NtReadFile ошибка чтения машинного кода
Функция NtReadFileScatter ошибка чтения машинного кода
Функция NtReadRequestData ошибка чтения машинного кода
Функция NtReadVirtualMemory (BA) перехвачена (805B2E48->EB11B960), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtRegisterThreadTerminatePort ошибка чтения машинного кода
Функция NtReleaseMutant ошибка чтения машинного кода
Функция NtReleaseSemaphore ошибка чтения машинного кода
Функция NtRemoveIoCompletion ошибка чтения машинного кода
Функция NtRemoveProcessDebug ошибка чтения машинного кода
Функция NtRenameKey ошибка чтения машинного кода
Функция NtReplaceKey (C1) перехвачена (80623EB2->F2D5B900), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtReplyPort ошибка чтения машинного кода
Функция NtReplyWaitReceivePort ошибка чтения машинного кода
Функция NtReplyWaitReceivePortEx ошибка чтения машинного кода
Функция NtReplyWaitReplyPort ошибка чтения машинного кода
Функция NtRequestDeviceWakeup ошибка чтения машинного кода
Функция NtRequestPort ошибка чтения машинного кода
Функция NtRequestWaitReplyPort ошибка чтения машинного кода
Функция NtRequestWakeupLatency ошибка чтения машинного кода
Функция NtResetEvent ошибка чтения машинного кода
Функция NtResetWriteWatch ошибка чтения машинного кода
Функция NtRestoreKey (CC) перехвачена (806206DA->F2D5D900), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtResumeProcess ошибка чтения машинного кода
Функция NtResumeThread ошибка чтения машинного кода
Функция NtSaveKey (CF) перехвачена (8062077C->F2D5CA10), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtSaveKeyEx (D0) перехвачена (8062080C->F2D5D180), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtSaveMergedKeys ошибка чтения машинного кода
Функция NtSecureConnectPort (D2) перехвачена (805A297E->F2D681EC), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtSetBootEntryOrder ошибка чтения машинного кода
Функция NtSetBootOptions ошибка чтения машинного кода
Функция NtSetContextThread (D5) перехвачена (805D019A->EB11BFD0), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtSetDebugFilterState ошибка чтения машинного кода
Функция NtSetDefaultHardErrorPort ошибка чтения машинного кода
Функция NtSetDefaultLocale ошибка чтения машинного кода
Функция NtSetDefaultUILanguage ошибка чтения машинного кода
Функция NtSetEaFile ошибка чтения машинного кода
Функция NtSetEvent ошибка чтения машинного кода
Функция NtSetEventBoostPriority ошибка чтения машинного кода
Функция NtSetHighEventPair ошибка чтения машинного кода
Функция NtSetHighWaitLowEventPair ошибка чтения машинного кода
Функция NtSetInformationDebugObject ошибка чтения машинного кода
Функция NtSetInformationFile (E0) перехвачена (80579EAC->F2D52F90), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtSetInformationJobObject ошибка чтения машинного кода
Функция NtSetInformationKey ошибка чтения машинного кода
Функция NtSetInformationObject ошибка чтения машинного кода
Функция NtSetInformationProcess ошибка чтения машинного кода
Функция NtSetInformationThread ошибка чтения машинного кода
Функция NtSetInformationToken ошибка чтения машинного кода
Функция NtSetIntervalProfile ошибка чтения машинного кода
Функция NtSetIoCompletion ошибка чтения машинного кода
Функция NtSetLdtEntries ошибка чтения машинного кода
Функция NtSetLowEventPair ошибка чтения машинного кода
Функция NtSetLowWaitHighEventPair ошибка чтения машинного кода
Функция NtSetQuotaInformationFile ошибка чтения машинного кода
Функция NtSetSecurityObject ошибка чтения машинного кода
Функция NtSetSystemEnvironmentValue ошибка чтения машинного кода
Функция NtSetSystemEnvironmentValueEx ошибка чтения машинного кода
Функция NtSetSystemInformation ошибка чтения машинного кода
Функция NtSetSystemPowerState (F1) перехвачена (80650E34->F7255550), перехватчик C:\WINDOWS\system32\Drivers\a348bus.sys, драйвер опознан как безопасный
Функция NtSetSystemTime ошибка чтения машинного кода
Функция NtSetThreadExecutionState ошибка чтения машинного кода
Функция NtSetTimer ошибка чтения машинного кода
Функция NtSetTimerResolution ошибка чтения машинного кода
Функция NtSetUuidSeed ошибка чтения машинного кода
Функция NtSetValueKey (F7) перехвачена (80620992->F2D5AD50), перехватчик C:\WINDOWS\system32\DRIVERS\SandBox.sys
Функция NtSetVolumeInformationFile ошибка чтения машинного кода
Функция NtShutdownSystem ошибка чтения машинного кода
Функция NtSignalAndWaitForSingleObject ошибка чтения машинного кода
Функция NtStartProfile ошибка чтения машинного кода
Функция NtStopProfile ошибка чтения машинного кода
Функция NtSuspendProcess ошибка чтения машинного кода
Функция NtSuspendThread (FE) перехвачена (805D32F6->EB11BB9F), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtSystemDebugControl ошибка чтения машинного кода
Функция NtTerminateJobObject ошибка чтения машинного кода
Функция NtTerminateProcess (101) перехвачена (805D13E4->F7BD1E5F), перехватчик не определен
Функция NtTerminateThread (102) перехвачена (805D15DE->EB11BD2F), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtTestAlert ошибка чтения машинного кода
Функция NtTraceEvent ошибка чтения машинного кода
Функция NtTranslateFilePath ошибка чтения машинного кода
Функция NtUnloadDriver ошибка чтения машинного кода
Функция NtUnloadKey ошибка чтения машинного кода
Функция NtUnloadKeyEx ошибка чтения машинного кода
Функция NtUnlockFile ошибка чтения машинного кода
Функция NtUnlockVirtualMemory ошибка чтения машинного кода
Функция NtUnmapViewOfSection ошибка чтения машинного кода
Функция NtVdmControl ошибка чтения машинного кода
Функция NtWaitForDebugEvent ошибка чтения машинного кода
Функция NtWaitForMultipleObjects ошибка чтения машинного кода
Функция NtWaitForSingleObject ошибка чтения машинного кода
Функция NtWaitHighEventPair ошибка чтения машинного кода
Функция NtWaitLowEventPair ошибка чтения машинного кода
Функция NtWriteFile ошибка чтения машинного кода
Функция NtWriteFileGather ошибка чтения машинного кода
Функция NtWriteRequestData ошибка чтения машинного кода
Функция NtWriteVirtualMemory (115) перехвачена (805B2F52->EB11CF57), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
Функция NtYieldExecution ошибка чтения машинного кода
Функция NtCreateKeyedEvent ошибка чтения машинного кода
Функция NtOpenKeyedEvent ошибка чтения машинного кода
Функция NtReleaseKeyedEvent ошибка чтения машинного кода
Функция NtWaitForKeyedEvent ошибка чтения машинного кода
Функция NtQueryPortInformationProcess ошибка чтения машинного кода
Проверено функций: 284, перехвачено: 41, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
Ошибка в работе антируткита [Access violation at address 00D5946F. Write of address FFFF009C], шаг [16]